DCS工業控制系統信息安全新趨勢

◆李 華

（核工業計算機應用研究所 北京 100048）

DCS工業控制系統信息安全新趨勢

◆李 華

（核工業計算機應用研究所 北京 100048）

隨著計算機技術網絡技術的發展，特別是互聯網及社會公共網絡平臺的快速發展，在“兩化”融合的行業發展需求下，DCS系統廣泛應用于各類行業。由于DCS工業控制系統在初建設時更多的是考慮各自系統的可用性，并沒有考慮系統之間互聯互通的安全風險和防護建設，造成病毒、木馬等安全威脅向工控領域迅速擴散。為了簡要介紹目前工控系統的安全問題，本文首先從DCS工業控制系統的定義和三層結構出發，引出了DCS工控系統的安全問題，闡述了該安全問題的分布特點。然后從技術角度，就攻擊者與攻擊途徑、網絡攻擊的檢測與響應、系統安全建模與脆弱性分析等多個重要問題進行了詳細的討論。最后，提出了縱深防御的安全理念，并以此為指導，構建了由邊界系統、防御系統、防衛系統等三部分組成的綜合防御體系，旨在為工業控制系統提供全方位、多層次、完整生命周期的保護。

DCS工業控制系統；信息安全；縱深防御

0 引言

隨著計算機和網絡技術的發展，特別是信息化與工業化深度融合以及物聯網的快速發展，工業控制系統產品越來越多地采用通用協議、通用硬件和通用軟件，以各種方式與互聯網等公共網絡連接，病毒、木馬等威脅正在向工業控制系統擴散，工業控制系統信息安全問題日益突出。

由于工業控制系統在建設初期基本上獨立成網，在純物理隔離的應用環境下，導致相關的工業協議安全密碼管理功能非常弱，安全管理措施不到位，基本沒有工業網絡安全檢測和防護技術手段，工業網絡中的工作站所采用的Windows系統為保證工業軟件的運行甚至不安裝。從工控控制系統現狀存在的安全風險看，兩化融合所需要的與傳統網絡的互聯互通是工業控制系統風險急劇提升的主要原因，缺乏安全檢測和防護手段、操作系統平臺和工業軟件本身的安全漏洞、無防毒措施、缺乏審計措施等則是導致風險不能有效控制的客觀因素。

如何應對新形勢下工控領域面臨的信息安全風險；如何對老舊系統進行必要和可行的安全加固；如何防范高級可持續威脅；如何為工控系統的安全管理建立模型，提供可以量化的討論和易于執行的方案；如何界定傳統IT系統與工業控制系統在信息安全上的異同，并且利用這些異同因地制宜地開展防護……所有這些都是擺在學術界與工業界面前，亟待探究和解答的重要問題。

1 DCS工業控制系統定義及結構

美國國家標準技術研究所（NIST）對于工業控制系統的定義和描述是這樣的：工業控制系統（ICS）是一類用于工業生產的控制系統的統稱，它包含監視控制與數據采集系統（SCADA）、分布式控制系統（DCS）和其他一些常見于工業部門與關鍵基礎設施的小型控制系統，如可編程邏輯控制器（PLC）等。

DCS是分布式控制系統的英文縮寫（Dstributed Contral System），在國內自行控制行業又稱之為集散式控制系統。所謂的分布式控制系統，或在有些資料中稱之為集散系統，是相對于集中式控制系統而言的一種新型計算機控制系統，它是一個由過程控制級和過程監控級組成的以通信網絡為紐帶的多級計算機系統，綜合了計算機、通信、顯示和控制等4G技術，其基本思想是分散控制、集中操作、分級管理、配置靈活以及組態方便。系統主要有現場控制站（I/O站）、數據通訊系統、人機接口單元（操作員站OPS、工程師站ENS）、機柜、電源等組成。系統具備開放的體系結構，可以提供多層開放數據接口。

典型的DCS工業控制系統，由過程級、操作級、管理級三部分組成。如圖1所示：

（1）過程級主要由過程控制站、I/O單元和現場儀表組成，是系統控制功能的主要實施部分。（2）操作級包括：操作員站和工程師站，完成系統的操作和組態，是連接上下兩層網絡的橋梁和紐帶，其中設有眾多的實時與歷史數據服器。它一方面根據上層的生產指令控制和調度底層的現場控制設備，另一方面又對工業現場的生產情況進行實時監測和數據統計，為上層調控提供信息反饋。（3）管理級主要是指工廠管理系統（MIS系統），作為DCS更高層次的應用。MIS信息網絡具有傳統 IT 網絡的屬性，可用以執行郵件收發、網頁瀏覽、企業資源計劃（ERP）和制造執行系統（MES）等功能。

圖1 典型DCS工業控制系統組成

2 DCS工業控制安全分布特點

2.1 工業控制系統安全現狀

工業控制系統面臨的威脅可以來自多種來源，包括對抗性來源如敵對政府、恐怖組織、工業間諜、心懷不滿的員工、惡意入侵者，自然來源如從系統的復雜性、人為錯誤和意外事故、設備故障和自然災害。為了防止對抗性的威脅（以及已知的自然威脅），需要為ICS創建一個縱深的防御策略。如表1列出了針對ICS的可能的威脅。請注意此列表中是按字母順序排列而不是按威脅大小。

表1 針對ICS的對抗性威脅

對ICS和現場設備的影響程度可以是從瑣碎的到重大的損壞。來自內部的意外影響是發生概率最高的事件之一。釣魚者釣魚者是執行釣魚計劃的個人或小團體，企圖竊取身份或信息以獲取金錢。釣魚者也可以使用垃圾郵件和間諜軟件/惡意軟件來實現其目標。垃圾郵件發送者垃圾郵件發送者包括個人或組織，他們散布不請自來的電子郵件，包含隱藏的或虛假的產品銷售信息，進行網絡釣魚計劃，散布間諜軟件/惡意軟件，或有組織的攻擊（例如DoS）。間諜/惡意軟件作者具有惡意企圖的個人或組織通過制作和散布間諜軟件和惡意軟件進行對用戶的攻擊。恐怖份子恐怖份子試圖破壞、中斷或利用關鍵基礎設施來威脅國家安全。恐怖分子可能使用網絡釣魚或間諜軟件/惡意軟件，以籌集資金或收集敏感信息。恐怖分子可能襲擊一個目標，以從其他目標上轉移視線或資源。工業間諜 工業間諜活動，旨在通過秘密的方法獲得知識產權和技術訣竅。

2.2 信息安全管理方面脆弱性

（1）組織結構人員職責不完善，專業人員缺乏。大部分行業未設置工控系統信息安全管理部門，未明確建設運維相關部門的安全職責和技能要求。同時普遍缺乏信息安全人才。

（2）信息安全管理制度流程欠完善。現在大部分行業還未形成完整的制度政策保障信息安全，缺乏工業控制系統規劃、建設、運維、廢止全生命周期的信息安全需求和設計管理，欠缺配套的管理體系、處理流程、人員責任等規定。

（3）應急響應機制欠健全，需進一步提高信息安全事件的應對能力。由于響應機制不夠健全，缺乏應急響應組織和標準化的事件處理流程，發生信息安全事件后人員通常依靠經驗判斷安全事件發生的設備和影響范圍，逐一進行排查，響應能力不高。

（4）人員信息安全培訓不足，技術和管理能力以及人員安全意識有待提高。大部分行業有針對工控系統的業務培訓，但是面向全員的信息安全意識宣傳，信息安全技術和管理培訓均比較缺乏，需加強信息安全體系化宣傳和培訓。

（5）尚需完善第三方人員管理體制。大部分的行業會將設備建設運維工作外包給設備商或集成商，尤其針對國外廠商，業主不了解工控設備技術細節，對于所有的運維操作無控制、無審計，留有安全隱患。如何有效地管控設備廠商和運維人員的操作行為，并進行嚴格的審計是工控系統面臨的一個關鍵問題。

2.3 信息安全技術方面脆弱性

（1）未進行安全域劃分，區域間未設置訪問控制措施。隨著工控系統的集成化越來越高，呈現統一管理集中監控的趨勢，系統的互聯程度大大提高。但是大部分行業的工控系統各子系統之間沒進行安全分區，系統邊界不清楚，邊界訪問控制策略缺失等問題。

（2）缺少信息安全風險監控技術，不能及時發現信息安全問題，出現問題后靠人員經驗排查。在工控網絡上普遍缺少信息安全監控機制，不能及時了解網絡狀況，一旦發生問題不能及時確定問題所在，及時排查到故障點，排查過程耗費大量人力成本、時間成本。

（3）系統運行后，操作站和服務器很少打補丁，存在系統漏洞，系統安全配置較薄弱，防病毒軟件安裝不全面。大部分行業工控系統投產后，對操作系統極少升級，而操作系統會不斷曝出漏洞，導致操作站和服務器暴露在風險中。系統自身的安全策略未啟用或配置薄弱，給黑客攻擊容易遭受攻擊。防病毒軟件的安裝不全面，即使安裝后也不及時更新防惡意代碼軟件版本和惡意代碼庫。

（4）工程師站缺少身份認證和接入控制，且權限很大。有些行業工程師站登錄過程缺少身份認證，且與操作站、控制器等通信均缺乏身份認證，存在任意工程師站可以對操作站、現場設備直接組態的情況。

（5）存在使用移動存儲介質不規范問題，易引入病毒以及黑客攻擊程序。在工控系統運維和使用過程中，存在隨意使用U盤、光盤、移動硬盤等移動存儲介質現象，有可能傳染病毒、木馬等威脅進生產系統中。

（6）第三方人員運維生產系統無審計措施，出現問題后無法及時準確定位問題原因、影響范圍及追究責任。

（7）上線前未進行信息安全測試。一些行業工控系統各子系統在上線前未安全性測試，系統在上線后存在大量安全風險漏洞，安全配置薄弱，甚至有的系統帶毒工作。

（8）無線通信安全性不足。一些行業工控系統中大量使用無線網絡，在帶來方便的同時，隨之而來的還有無線網絡安全方面的威脅。其中包括未授權用戶的非法接入、非法AP欺騙生產設備接入、數據在傳輸過程中被監聽竊取、基于無線的入侵行為等問題。

3 工業控制信息系統安全發展趨勢和建議

在當今技術高速發展，系統結構日趨復雜，攻擊手段不斷翻新，尤其出現了高級可持續威脅的信息安全大背景下，想要把所有的攻擊都阻攔在防護之外，已經是不可能的事情。因此，要保證工業控制系統的安全，必須采用縱深防御的安全理念，以被保護的工業控制系統為核心，構建起多層級的縱深防御體系，如圖2所示。

圖2 工業控制系統縱深防御體系

（1）需要在工業控制系統的對外邊界上建立起良好的“邊界系統”，借助傳統 IT 系統的相關經驗和產品，同時充分結合工控系統性能特點，利用工控防火墻、工控網閘、工控網關等安全隔離設備，在工控系統的邊界上構筑安全防線。

（2）需要為工業控制系統建立全面的“防御系統”，它包括了入侵檢測系統、入侵誘捕系統和安全態勢感知等安全部件，用以檢測和抵御入侵工控系統的攻擊行為。

（3）需要為工業控制系統建立可靠性高、反應迅速、性能健壯的“防危系統”，這是為工業控制系統可用性第一的特點而量身定制的。它保證了即使攻擊者及其攻擊行為已經突破了前面的兩道防線，侵入到工控系統的內部，工控系統仍然可以維持工控系統的物理安全，不至于導致嚴重的人身傷亡和重大財產損失事故。

4 結束語

總之，作為傳統 IT 系統的延伸和發展，工業控制系統目前雖然面臨著嚴重的信息安全威脅，但是只要能夠在借鑒傳統安全防御手段的基礎上，充分考慮工業控制系統的工作特點，因地制宜地采取保護措施，扎實系統地部署縱深防御，不斷推進工控安全領域的研究和實踐，在不遠的將來，一定可以在這一場嶄新的網絡攻防戰中占據先機和主動。